FAQ: L2TP OVER IPSEC 同时只能一个用户拨上去

发布时间:  2012-07-18 浏览次数:  161 下载次数:  0
问题描述
客户配置如下,出现一个问题就是同时只能一个用户可以拨上去
IPSEC端配置:
acl number 3011
rule 5 permit udp source-port eq 1701

ike peer 11
exchange-mode aggressive
pre-shared-key abcde
ike-proposal 11
local-id-type name
remote-name client1

ipsec policy-template template1 1
security acl 3011
ike-peer 11
proposal p1
ipsec policy policy1 1 isakmp template template1

interface GigabitEthernet0/0/0
ip address 113.128.234.81 255.255.255.0
ipsec policy policy1

L2TP端配置
interface Virtual-Template1
ppp authentication-mode pap
ip address 192.168.10.1 255.255.255.0
remote address pool

l2tp-group 1
allow l2tp virtual-template 1
tunnel password simple Password123
tunnel name LNS
aaa
ip pool 0 192.168.10.2 192.168.10.254
告警信息
处理过程
原因是客户没有在客户端还有ike peer中启用NAT 穿越,因为我们客户端电脑很多时候都是通过nat转换的,没有开启nat穿越的时候,客户端会用500端口进行协商,所以只有一个能拨上,因为500端口被占用导致其他客户端拨不上去,但是如果开启nat穿越,则会用4500,4501等其他端口去协商,故不会有端口被占用的问题,当然也可以实现多个用户同时拨入。

配置如下:
ike peer 11
exchange-mode aggressive
pre-shared-key abcde
ike-proposal 11
local-id-type name
remote-name client1
nat traversal

在客户端启用nat穿越
根因
建议与总结

END